Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

GNU C Library catchsegv Script : Création Non-Sécurisée de Fichiers Temporaires Vulnérabilité

22/01/2007 03H09
Référence Secunia : SA12930 
Date de publication : 2004-10-22

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Non corrigée


Produit :
GNU C Library (glibc) 2.x

Référence CVE :
CVE-2004-0968


Description :
Une vulnérabilité a été rapportée dans GNU C Library (glibc), qui pourrait être exploitée par des utilisateurs locaux malveillants pour réaliser certaines actions sur un système vulnérable avec des privilèges plus élevés.

La vulnérabilité est causée du fait que des fichiers temporaires sont créés de manière non sécurisée par the "catchsegv" script. Cela pourrait être exploité via des attaques symlink pour créer ou sur-écrire des fichiers arbitraires avec les privilèges de l'utilisateur invocant le script vulnérable.


Solutions :
N'authorisez que des utilisateurs de confiance à accéder aux systèmes vulnérables.


Vulnérabilité découverte par :

D'abord rapportée dans un bulletin Trustix.

Référence :
http://www.trustix.org/errata/2004/0050/






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.